Het Amerikaanse ministerie van Justitie, het Federal Bureau of Investigation (FBI) en het Finse National Bureau of Investigation zijn onlangs een gezamenlijke operatie gestart en hebben met succes een 19-jarige man gearresteerd die verdacht wordt van deelname aan een van 's werelds grootste cybercriminaliteitsgroepen op de luchthaven van Helsinki in Finland. Volgens gegevens van het Amerikaanse ministerie van Justitie heeft de hackergroep, genaamd Scattered Spider, eerder meer dan 100 miljoen dollar aan losgeld afgeperst via ransomware-aanvallen.

De verdachte die dit keer is gearresteerd, heet Peter Stokes, die de dubbele nationaliteit van de Verenigde Staten en Estland heeft. Op het moment van het incident probeerde hij aan boord te gaan van een vlucht naar Japan in Helsinki, maar werd onderschept door wetshandhavers voordat hij aan boord van het vliegtuig ging. De politie vond een grote hoeveelheid uiterst belastend strafrechtelijk bewijsmateriaal op twee harde schijven die hij bij zich had.
De directe trigger die tot de arrestatie van Stokes leidde, was de cyberaanval die de groep in mei 2025 lanceerde op een luxe juwelier in de Verenigde Staten. Op dat moment gebruikte de aanvaller Google Voice om de IT-servicedesk van de juwelier te bellen, waarbij hij zich voordeed als een medewerker van het bedrijf, en slaagde hij erin de technicus te misleiden om de accountgegevens opnieuw in te stellen. Deze stap resulteerde in het compromitteren van drie bedrijfsaccounts, waarvan er twee ook beheerdersrechten hadden. Vervolgens stalen bendeleden, waaronder Stokes, belangrijke gegevens, versleutelden deze en persten $8 miljoen aan cryptocurrency af van de juwelier. Hoewel de juwelier uiteindelijk de controle over het systeem terugkreeg en weigerde het losgeld te betalen, resulteerde de langdurige bedrijfsverstoring in bedrijfsverliezen van ongeveer $ 2 miljoen. Dit was ook voor aanklagers en wetshandhavingsfunctionarissen aanleiding om de aanwijzingen te gaan volgen en grensoverschrijdende tracking te starten.
Tijdens het onderzoek van de zaak verleende technologiegigant Microsoft belangrijke assistentie. Microsoft verstrekte zogenaamde "Global Device Identifier" (GDID)-gegevens aan de FBI. GDID is een uniek identificatienummer dat wordt toegewezen aan elk apparaat waarop Windows is geïnstalleerd en dat wordt gebruikt om telemetriegegevens van een specifiek apparaat bij te houden. Uit gerechtelijke documenten blijkt dat Stokes tijdens de misdaad het Windows 11-systeem gebruikte. Dankzij deze handtekening hebben onderzoekers zijn fysieke hardwareapparaten met succes geassocieerd met specifieke netwerkactiviteiten en geografische locaties. De door Microsoft verstrekte gegevens openden de tijdlijn en legden belangrijke aanwijzingen zoals Stokes' netwerkactiviteiten, online gamegeschiedenis, IP-adres, toolgebruik (inclusief Ngrok) en Azure-status in detail vast.
In feite kenden de wetshandhavingsautoriteiten al in 2024 de ware identiteit van Stokes. Omdat hij toen echter nog minderjarig was en al lange tijd tussen Estland en de Verenigde Arabische Emiraten woonde, koos de politie ervoor om hem in het geheim in de gaten te houden en sloot het netwerk pas op dat moment. De officiële aanklacht bevatte ook een ironisch stukje fysiek bewijs: Stokes plaatste ooit een selfie op Snapchat waarin hij zijn gezicht bedekte met tientallen honderd-dollarbiljetten. Op basis van het behang, het tapijt en de meubelstijl op de achtergrond van de foto stelde de politie nauwkeurig vast dat de locatie waar de foto was genomen het Empire Hotel in New York was. Uit gegevens blijkt dat hij de officiële website van het hotel in Duitsland bezocht en vervolgens naar New York vloog.
Stokes is uitgeleverd aan de Verenigde Staten nadat hij in Finland was gearresteerd. Op 30 juni 2026 verscheen hij voor het eerst voor de rechtbank in de federale rechtbank van Chicago. Stokes zit nog steeds in politiehechtenis en wordt beschuldigd van samenzwering, cyberinbraak en fraude.